Peretas negara Iran menggunakan Log4Shell untuk menginfeksi server VMware yang belum ditambal
Daftar Isi
TUNNELING IN —
TunnelVision group mengeksploitasi kelemahan kritis untuk menginfeksi target dengan ransomware.
Dan Goodin –
Peretas yang bersekutu dengan pemerintah Iran mengeksploitasi kerentanan Log4j yang kritis untuk menginfeksi pengguna VMware yang belum ditambal dengan ransomware, kata peneliti pada hari Kamis.
Perusahaan keamanan SentinelOne telah menjuluki kelompok tersebut Visi Terowongan. Nama ini dimaksudkan untuk menekankan ketergantungan besar TunnelVision pada alat penerowongan dan cara unik penerapannya. Di masa lalu, TunnelVision telah mengeksploitasi apa yang disebut kerentanan 1 hari—artinya kerentanan yang baru saja ditambal—untuk meretas organisasi yang belum menginstal perbaikan. Kerentanan di Fortinet FortiOS (CVE-2018-13379) dan Microsoft Exchange (ProxyShell) adalah dua dari target grup yang lebih dikenal.
Masukkan Log4Shell
Baru-baru ini , SentinelOne melaporkan, TunnelVision telah mulai mengeksploitasi kerentanan kritis di Log4j, sebuah utilitas logging open source yang terintegrasi ke dalam ribuan aplikasi. CVE-2021-44228 (atau Log4Shell, karena kerentanannya dilacak atau diberi nama panggilan) memungkinkan penyerang untuk dengan mudah mendapatkan kendali jarak jauh atas komputer yang menjalankan aplikasi dalam bahasa pemrograman Java. Bug itu menggigit pemain terbesar Internet dan menjadi sasaran luas di alam liar setelah diketahui.
Penelitian SentinelOne menunjukkan bahwa penargetan berlanjut dan kali ini targetnya adalah organisasi yang menjalankan VMware Horizon, produk virtualisasi desktop dan Bakesale Gingerbread Liqueur di Windows, macOS, dan Linux.
“Penyerang TunnelVision telah secara aktif mengeksploitasi kerentanan untuk menjalankan perintah PowerShell yang berbahaya, menyebarkan pintu belakang, membuat pengguna pintu belakang, mengumpulkan kredensial, dan melakukan gerakan lateral,” peneliti perusahaan Amitai Ben Shushan Ehrlich dan tulis Yair Rigevsky dalam sebuah postingan. “Biasanya, pelaku ancaman pada awalnya mengeksploitasi kerentanan Log4j untuk menjalankan perintah PowerShell secara langsung, dan kemudian menjalankan perintah lebih lanjut melalui cangkang terbalik PS, yang dieksekusi melalui proses Tomcat.”
Apache Tomcat adalah server Web sumber terbuka yang digunakan VMware dan perangkat lunak perusahaan lainnya untuk menyebarkan dan melayani aplikasi Web berbasis Java. Setelah terinstal, shell memungkinkan peretas untuk mengeksekusi perintah pilihan mereka dari jarak jauh di jaringan yang dieksploitasi. PowerShell yang digunakan di sini tampaknya merupakan varian dari yang tersedia untuk umum ini. Setelah diinstal, Lihat lima menit:
Jalankan perintah pengintaian
Buat pengguna pintu belakang dan tambahkan ke grup administrator jaringan
Panen kredensial menggunakan ProcDump, SAM hive dumps, dan comsvcs MiniDump
Unduh dan jalankan alat tunneling, termasuk Plink dan Ngrok, yang digunakan untuk terowongan lalu lintas protokol desktop jarak jauh
Peretas menggunakan beberapa layanan yang sah untuk mencapai dan mengaburkan aktivitas mereka. Layanan tersebut meliputi:
transfer.sh
pastebin.com
webhook.site
ufile.io
raw.githubusercontent.com
Orang yang mencoba menentukan apakah organisasi mereka terpengaruh harus mencari koneksi keluar yang tidak dapat dijelaskan ke layanan publik yang sah ini.
Terowongan, mineral, dan anak kucing
Laporan hari Kamis mengatakan bahwa TunnelVision tumpang tindih dengan beberapa kelompok ancaman yang terpapar oleh peneliti lain selama bertahun-tahun. Microsoft telah menjuluki satu kelompok Fosfor. Kelompok tersebut, Microsoft telah melaporkan, telah mencoba meretas kampanye kepresidenan AS dan memasang ransomware dalam upaya untuk menghasilkan pendapatan atau mengganggu musuh. Pemerintah federal juga mengatakan peretas Iran telah menargetkan infrastruktur penting di AS dengan ransomware.
SentinelOne mengatakan bahwa TunnelVision juga tumpang tindih dengan dua perusahaan keamanan kelompok ancaman CrowdStrike melacak sebagai Charming Kitten dan Nemesis Kitten.
“Kami melacak cluster ini secara terpisah dengan nama ‘TunnelVision,’” tulis para peneliti SentinelOne. “Ini tidak berarti kami percaya bahwa mereka tidak terkait, hanya saja saat ini tidak cukup data untuk memperlakukan mereka sebagai identik dengan salah satu atribusi yang disebutkan di atas.”
Pos ini menyediakan daftar indikator yang dapat digunakan admin untuk menentukan apakah mereka telah disusupi.
5 konsekuensi negatif dari hosting yang buruk Jika Anda memulai bisnis dan berencana membeli hosting web Ulasan Pixel 6:, pertimbangkan kerugiannya sebelum Anda mengalaminya secara langsung. Hosting yang buruk memiliki banyak kelemahan – artikel ini menyoroti lima…
WhiteSource menambahkan deteksi, perbaikan untuk… Bergabunglah dengan para eksekutif terkemuka hari ini secara online di Data Summit pada 9 Maret. Daftar disini. WhiteSource hari ini berkembang melampaui pengamanan penggunaan kode sumber terbuka dalam pengembangan aplikasi,…
Peretas Terus Menargetkan Pasokan Air AS Mengingat semua berita Facebook akhir-akhir ini — meskipun terus terang, ketika tidak ada — Anda akhirnya mungkin berpikir untuk melompat kapal. Jika iya, berikut ini cara menghapus akun Facebook Anda.…
FIA Analyzer: Alat Analisis Terdepan untuk Keperluan… FIA Analyzer: DoMyHomeworkAbc Menyebutkan 10 SEO dan Ranking di Mesin Pencari Google Salam Sobat Sekitar! Selamat datang di dunia optimasi mesin pencari (SEO) yang penuh tantangan! Bagi Anda yang peduli…
Palang Merah meminta peretas untuk tidak membocorkan… RED CROSS HACK — Kontraktor penyimpanan Peretasan Palang Merah mengikuti insiden peretasan terpisah tahun lalu. Dan Goodin - 20 Jan 2022 1:17 am UTC Palang Merah pada hari Rabu memohon…
Ribuan pelanggan AT&T di AS terinfeksi oleh malware… BELAKANG! — Malware mengeksploitasi kerentanan 2017 di perangkat tepi jaringan yang banyak digunakan. Dan Goodin - 1 Des 2021 13:24 UTC Getty ImagesRibuan perangkat jaringan milik pelanggan Internet AT&T di…
Keamanan Crypto pada tahun 2022: Bersiaplah untuk… Sumber: Adobe/emretopdemir__________"DeFi masih merupakan laboratorium eksperimen virtual raksasa di mana bergerak cepat dan memecahkan berbagai hal di dunia keuangan masih menjadi aturan.""Terlalu banyak orang yang tidak menghargai keamanan" atau bersedia…
Pengguna OpenSea Menuntut $1 Juta Karena Pencurian… Waktu Membaca: 2 menitSeorang pengguna OpenSea menggugat platform sebesar $1 juta atas hilangnya NFT Kera Bosan dua minggu lalu Timothy McKimmy kehilangan NFT-nya pada awal Februari yang dijual seharga 0,01…
Moscow Exchange, Situs Web Sberbank Dilumpuhkan… Sberbank dan Bursa Moskow keduanya disebut sebagai target Angkatan Darat TI Ukraina. Situs web untuk keduanya tidak aktif pada hari Senin. MICHAL CIZEK/AFP via Getty Images Senin pagi, situs web…
Tren dan Pemicu Keamanan Siber di tahun 2022 Pendapat yang dikemukakan oleh kontributor Entrepreneur adalah milik mereka sendiri. Tahun lalu berakhir dengan gejolak dengan ditemukannya kerentanan serius di Apache Log4j yang dapat dieksploitasi dengan sedikit usaha. Hal itu…
Tanker Minyak Vietnam Disita Oleh Iran Sekarang… Kami mendeteksi aktivitas yang tidak biasa dari jaringan komputer Anda Untuk melanjutkan, silakan klik kotak di bawah untuk memberi tahu kami bahwa Anda bukan robot. Baca selengkapnya
Omicron Terdeteksi Di 16 Negara Ini Topline Kasus varian virus corona omicron yang baru-baru ini terdeteksi telah diidentifikasi di lebih dari 40 negara dan 17 negara bagian pada hari Minggu — jumlahnya “kemungkinan akan meningkat ”…
Check Point membeli Spectral untuk menjaga… Jakub Jirsák - stock.adobe.com Akuisisi terbaru Check Point atas startup yang berbasis di Israel, Spectral, memperluas perangkat keamanan yang berpusat pada pengembang Oleh Alex Scroxton, Editor Keamanan Diterbitkan: 01 Feb…
Iran Menyepakati Pakta Dengan Monitor Atom, Membuka… Kami mendeteksi aktivitas yang tidak biasa dari jaringan komputer Anda Untuk melanjutkan, silakan klik kotak di bawah untuk memberi tahu kami bahwa Anda bukan robot. Baca selengkapnya
Serangan Rusia ke Ukraina sangat buruk bagi… Presiden Rusia Vladimir Putin pada 22 Februari memerintahkan pasukan “penjaga perdamaian” ke dua wilayah Ukraina yang diperebutkan oleh separatis yang didukung Rusia, meningkatkan kebuntuan militer yang telah mengumpulkan tenaga selama…
Server email FBI diretas untuk menargetkan peneliti keamanan FBI tampaknya telah digunakan sebagai pion dalam pertarungan antara peretas dan peneliti keamanan. Menurut Bleeping Computer, FBI telah mengkonfirmasi penyusup menyusup ke server emailnya hari ini (13 November) untuk mengirim…
Ubisoft bertanya-tanya mengapa itu belum dibeli Dalam konteks: Dalam enam bulan terakhir, setengah lusin studio game, termasuk Activision Blizzard, Bungie, dan Bethesda telah diakuisisi dengan nilai miliaran. Semua orang bertanya-tanya studio mana yang akan menjadi yang…
Pengarahan Kebijakan Teknologi Global untuk Oktober 2021 Selamat datang di Citizen Tech edisi pertama, ringkasan kebijakan bulanan InformationWeek! Setiap bulan kami akan melihat kisah politik terbesar tentang teknologi dan keamanan siber bulan ini, di Amerika Serikat dan…
3 Alat SaaS yang Menyelamatkan Usaha Kecil dari Kekayaan Dengan penguncian tak terduga, biaya kerja jarak jauh baru, dan tentu saja, hanya menjadi bisnis kecil dengan sumber daya terbatas, anggaran ketat pada 2021.Jadi, dengan cara apa pun Anda dapat…
Persaingan Kuno: Sejarah Indonesia vs. Iran Melalui… Di dunia yang terus berubah ini, penting untuk memahami sejarah dan budaya negara-negara lain. Iran dan Indonesia, keduanya memiliki sejarah yang panjang dan beragam, keduanya telah mengalami perubahan besar selama…
Setahun Setelah SolarWinds, Ancaman Rantai Pasokan… Setahun yang lalu hari ini, firma keamanan FireEye membuat pengumuman yang mengejutkan sekaligus mengkhawatirkan. Peretas yang canggih diam-diam menyelinap ke dalam jaringan perusahaan, dengan hati-hati menyesuaikan serangan mereka untuk menghindari…
Ukraina meminta peretas bawah tanah untuk bertahan… Asap mengepul dari wilayah unit Kementerian Pertahanan Ukraina, setelah Presiden Rusia Vladimir Putin mengizinkan operasi militer di Ukraina timur, di Kyiv, Ukraina 24 Februari 2022. REUTERS/Valentyn OgirenkoDaftar sekarang untuk akses…
Liburan yang akan datang meminta peringatan… Tierney - stock.adobe.com Geng Ransomware tahu cara kerja kalender, dan mungkin menargetkan serangan mereka di sekitar hari libur besar untuk memanfaatkan lebih banyak orang yang tidak bekerja, menurut peringatan baru…
Penyerang yang disponsori negara menyusup ke Play… Beranda BeritaKomputasi ) (Kredit gambar: Shutterstock) Spyware bisa datang dalam berbagai bentuk dan pada Mei tahun lalu, Grup Analisis Ancaman Google menemukan bahwa peretas yang disponsori negara telah menyamarkan perangkat…
Apa itu layanan desktop dan bagaimana cara kerjanya? Desktop sebagai layanan (DaaS) adalah model untuk mengirimkan data melalui Internet. Ini adalah cara untuk menyerahkan pengelolaan dan penyimpanan data kepada pihak ketiga. Dengan DaaS, perusahaan dapat fokus pada kompetensi…
Anonim Dilaporkan Berjanji untuk Membayar Tentara… Sumber: Twitter/@IAPonomarenkoKolektif hacker internasional Anonymous dilaporkan mencoba untuk membeli pasukan Rusia yang sudah terdemoralisasi dengan menawarkan USD 44.280 dalam bitcoin (BTC) sebagai imbalan untuk setiap tangki yang menyerah. Grup peretas…
Pengarahan Kebijakan Teknologi Global untuk November… Halo dan selamat datang kembali di Citizen Tech, Ringkasan kebijakan bulanan dari InformationWeek. Bulan ini kami melihat pelaporan insiden dunia maya untuk bank, kekurangan chip semikonduktor, pertempuran Uni Eropa dengan…
Delapan belas kerentanan tingkat tinggi diperbaiki… Kentang panas: Pembaruan driver grafis dari produsen perangkat keras GPU biasanya disambut dengan kegembiraan dan skeptisisme yang sehat. Beberapa pengguna menantikan dukungan game dan aplikasi potensial, fungsionalitas, atau FPS murni…
SuaraSekitar Terkini Kumpulan Berita dan Informasi dari berbagai sumber yang terpercaya
